發電廠DCS 網絡安全評估與防護

蔡鈞宇，蘇 燁，尹 峰，陳 波

（國網浙江省電力有限公司電力科學研究院，杭州 310014）

0 引言

電力行業是我國引入DCS（分散控制系統）比較早的行業之一，由于其高可靠性、開放性、靈活性、易于維護、控制功能完善等特點，在改造傳統產業和產業結構調整時成為首選方案。隨著DCS 技術的不斷改進和發展，新一代DCS 基于開放的技術標準，廣泛使用Windows 操作系統、以太網和OPC（過程控制對象鏈接與嵌入），然而，這些通用技術和標準的使用加劇了DCS 控制網絡的信息安全風險[1]。

針對DCS 網絡安全評估和系統的漏洞挖掘，GB/T 33009.3—2016《工業自動化和控制系統網絡安全集散控制系統（DCS）第3 部分：評估指南》的第6.1 節（DCS 資產識別）和第6.2 節（DCS 脆弱性）指出了評估的相關要求[2]。由于發電廠的控制網絡具有“永遠在線”的性質，以及發電廠控制系統高可用性要求的特點，因此必須對發電廠的DCS 網絡架構和控制流程有深入的了解方可進行安全評估測試。此外，雖然防火墻、入侵檢測系統、虛擬專用網絡和其他技術都可以幫助保護控制網絡免受惡意攻擊，但是在DCS 環境中未經測試和驗證的不正確配置或措施會嚴重妨礙其發揮安全效用，在安全評估測試中必須加以考慮。

根據發電廠現場DCS 安全評估項目的具體要求，選取了2 種適合運營維護階段的安全評估技術[3]：網絡安全架構評審和基于工具的自動外部應用程序掃描。在網絡安全架構評審的具體實踐中，利用在線資產發現生成的動態網絡拓撲替代了通常由運營方提供的靜態網絡架構拓撲，這樣即得到了網絡真實的拓撲結構，同時還可以發現靜默設備或潛在的非法接入設備。在基于工具的自動外部應用程序掃描技術的漏洞挖掘過程中，通過對核心設備的安全漏洞掃描發現了多個急需解決的漏洞和安全隱患，并在此基礎上，利用漏洞掃描工具的擴展功能，對常規測試例進行擴展，結合不同用途的工具發現DCS 控制器的通信缺乏認證機制的嚴重問題。

1 發電廠控制系統概況

本次安全評估以火電廠DCS 為測試對象，火電廠的主控DCS 包括DAS（數據采集系統）、MCS（模擬量控制系統）、FSSS（爐膛安全與監控系統）、SCS（順序控制系統）、ECS（廠用電監控系統）、ETS（汽輪機緊急跳閘保護系統）以及DEH（數字電調系統）等。輔控DCS 包括水務、輸煤、除灰除渣、脫硫等子系統[4]。輔控DCS 和機組DCS 類似，為了更直觀地展示，圖1 中將輔控系統和其他系統簡化掉。圖1 中有若干測試點a—f，這些測試點作為測試所屬網絡或子網絡的在線資產發現和核心設備漏洞掃描的網絡接入點。

火電廠的監控系統包括生產過程控制級、生產過程操作級和管理信息系統。其中生產過程控制級中的控制器，例如圖1 所示的Ovation 控制器，接收現場傳感器或變送器發送的數據，根據一定的控制策略計算出所需的控制量，并且向執行設備發送控制指令；生產過程操作級包括工程師站、操作員站、歷史數據服務器和打印機等輔助設備；監控管理系統包括各種應用服務器和管理計算機等。3 個層級分別對應了控制網絡、監控網絡和管理網絡。

圖1 火電廠監控系統簡化網絡

2 DCS 安全評估主要內容

針對發電廠DCS 的安全評估通常包括物理安全、主機安全、網絡安全、OPC 安全、控制器安全、上位機工業控制系統及終端、系統能力測試等多個方面[5-6]。本次DCS 安全評估的關注點是DCS 核心設備，即控制器和上位機的安全評估。

2.1 安全評估技術的選擇

常見的安全評估技術按照評估深度由淺到深的排序如表1 所示。根據DCS 整個生命周期不同階段的特點需要考慮采用適合的安全評估技術。

表1 安全評估技術

鑒于發電廠DCS 處于運營使用階段，因此選取了2 項適用于被檢測對象處于運營使用階段并且符合發電廠特殊生產環境要求的評估技術：網絡安全架構評審和基于工具的自動外部應用程序掃描。

網絡安全架構的評審是根據運營者提供的網絡拓撲圖來分析網絡部署是否符合網絡分區和隔離的原則，是否提供足夠的邊界保護措施以及防火墻的設置和其他網絡隔離手段是否充分合理[7]。然而，運營商提供的靜態網絡拓撲圖未必能夠真實反映網絡連接狀況，容易忽略實際存在但網絡拓撲圖中被遺忘或潛在非法連接的設備。為此，需要通過在線資產發現手段提供最真實的DCS網絡架構拓撲作為網絡安全架構評審的依據，更直觀地了解發電廠DCS 網絡基礎架構的缺陷以及需要升級和替換的薄弱環節。

自動外部應用程序掃描是利用自動化開源或商業軟件發現業界已知的應用漏洞[8-9]。在本次發電廠DCS 網絡安全評估中，自動外部應用程序掃描使用的是Nessus 和Achilles 2 種工具。采用這種評估技術的好處是：能快速識別設備中存在的已知漏洞；能夠自動定期運行，提供漏洞的基準和持續管理指標；工具提供商的漏洞數據庫可以基于公共漏洞資源，不斷更新檢測工具的漏洞數據庫。但是常規測試例也有一定的局限性，不能發現零日漏洞，需要測試人員根據具體測試場景自定義測試例，因此需要測試人員深入了解測試對象的工作原理和工作流程并具備使用腳本語言開發自定義測試例的能力。

2.2 在線資產發現

2.2.1 方法選擇

在線資產發現，特別是自動執行持續性的資產發現是對傳統網絡安全架構評審的改進，在線資產發現包括被動掃描和選擇性探查2 種方式[10]。

所謂被動掃描其實并沒有網絡掃描的行為，而是嗅探所有網絡流量并對其進行解析，以獲取可用于識別端點和流量模式的數據。被動掃描資產發現所需的元數據深藏在流量之中，查找用于識別設備品牌、型號、固件版本等信息是一項艱巨的任務，并且無法檢測到靜默設備，更無法準確發現設備的應用程序和安全補丁。此外，若靜默設備檢測期間沒有發送消息，那么它就不會出現在物理層和數據鏈路的網絡拓撲中。

選擇性探測是使用合法協議和訪問憑證來探測網絡設備，包括網絡交換機和路由器。它充分利用了以下幾點：工業控制環境中幾乎所有相關協議都具有從固件版本的特定位置查詢產品標識中元數據的功能，例如Modbus，Ethernet/IP，Profinet 和DNP3。這同樣適用于DCS 網絡中使用的IT 協議，例如SNMP（簡單網絡管理協議）和WMI（Windows 管理規范）。即使一些廠家的專有協議也具有查詢元數據的特定功能，甚至還有專門為發現配置細節而設計的協議，例如鏈路層發現協議、思科發現協議。在具體測試過程中，選擇性探測并非持續地分析所有網絡流量，而是發送一次適當的探測調用，然后收集并處理相關的響應。與解析設備元數據的所有網絡流量不同，對這些探測的響應僅包含需要的資產信息。

本次發電廠DCS 的網絡安全評估最終確定采用選擇性探測，原因是：可以檢測靜默設備；使用特定的協議能夠可靠地枚舉固件版本、軟件應用程序和安全補丁；可以準確地映射網絡拓撲，包括第1 層和第2 層特征。

2.2.2 具體實施及結果

在實施發電廠某機組DCS 的在線資產發現時，采用了Zenmap 工具，即跨平臺NMAP 安全掃描工具的圖形界面版本。目的是獲取該網段中所有的設備網絡信息，包括IP 地址、開放端口和MAC（介質訪問控制）地址，查看是否有未知或未授權的設備隱藏在發電機組的控制網絡中。

通過對某機組DCS 網絡的掃描，獲取了網絡內全部主機的IP 地址、MAC 地址和開放端口號，其中包括了全部控制器、工程師站、歷史數據服務器等，并由此生成DCS 網絡拓撲結構，本項測試并未發現未知的設備。

2.3 核心設備的漏洞掃描

2.3.1 漏洞掃描工具選擇

核心設備的漏洞掃描主要采用了3 種工具：Nessus，Achilles 和Wireshark。表2 是本次漏洞掃描所使用的3 種工具的主要功能及其應用場景。

表2 漏洞掃描工具簡介

2.3.2 漏洞掃描測試環境

圖1 中測試點c—f 是測試工具Nessus 在控制網絡的接入位置，用于實現對控制器的漏洞掃描；測試點b 是測試工具Nessus 在監控網絡中的接入位置，用于實現對工程師站的漏洞掃描；測試點a 是測試工具Nessus 在管理網絡中的接入位置，用于實現對管理網絡上聯網設備的漏洞掃描[11]。鑒于本項目主要針對控制系統網絡，因此沒有對管理網絡進行漏洞掃描。

2.3.3 DCS 控制器模塊的漏洞掃描

對于DCS 控制器本身來說，漏洞通常是軟件缺陷和錯誤的配置所引起的，對DCS 控制器模塊的漏洞掃描就是模仿攻擊數據流發送給控制器模塊，來檢查控制器能否正確應對處理以保證控制過程的可用性、完整性和保密性。

對運行中的DCS 控制器進行漏洞掃描可能會導致整個系統的可用性遭到破壞，因此選擇冗余系統的控制器模塊進行檢測，即使由于漏洞掃描導致DCS 控制器不能正常工作也不會影響發電廠的正常運行。同時，還需要對每個測試例可能產生的最壞結果做好應對措施，另外在測試例的選擇上要考慮實驗對象的耐受程度[12]。

利用Nessus 對控制器進行漏洞掃描后，發現了3 個高危漏洞、4 個中等危險漏洞和1 個低級漏洞，同時還發現了一些信息泄露的情況。

2.3.4 工程師站的漏洞掃描

利用Nessus 對工程師工作站進行漏洞掃描后，發現了1 個高危漏洞、3 個中等危險漏洞。

測試過程中模仿工程師站向控制器發送指令，利用Wireshark 對工程師站與控制器之間的數據流量進行抓取和分析，獲得含有關鍵操作“強制開啟閥門”及“強制關閉閥門”指令的數據包，然后使用Achilles 的用戶自定義測試功能，構建關鍵操作指令測試例，對控制器進行發包測試[13]。Achilles 將測試用例的數據包發送至相關控制器，在工程師站上可以看到相應閥門已經接受并執行了指令[14]。

2.4 測試結果分析

2.4.1 在線資產發現

此次在線資產發現的結果沒有發現被遺忘或隱藏在DCS 網絡上的靜默設備，在線資產發現測試結果與已知的DCS 網絡設備連接狀態吻合，從而證實了在線資產發現測試的有效性，利用在線資產發現結果可以得到當前真實網絡拓撲結構。

2.4.2 核心設備存在的漏洞

表3 和表4 分別是運行常規測試例發現的控制器和工程師站的漏洞列表。

從2.3.4 節模仿命令測試發現的設備漏洞中可以看到，控制器在執行來自工程師站的指令時沒有鑒權機制，它可以接受符合協議格式的命令并且執行命令中要求的動作，這意味著任何能夠訪問到控制器的設備只要了解控制器接受的命令格式就可以發送非法指令，破壞正常的生產流程，這個模仿命令的測試證實了DCS 網絡中存在一個嚴重的安全漏洞，當DCS 設備廠家暫時無法提供通信認證機制時，就必須針對DCS 網絡訪問有嚴格的安全防護機制才能降低這個漏洞帶來的安全風險。

表3 OVATION 控制器漏洞

表4 工程師站漏洞

2.4.3 漏洞特征分析

從文中列舉的DCS 網絡核心設備控制器和工程師站安全漏洞中可以發現以下幾個明顯的特征：

（1）在控制器和工程師站發現的漏洞是存在已久的漏洞，例如“SNMP 代理默認社區名稱（公共）”早在1990 年就已出現，“FTP 特權端口回退掃描”漏洞于1999 年就被發現，但問題依然存在，說明DCS 廠商并沒有徹底解決已知漏洞。

（2）有些陳舊的不安全服務依然存在于DCS核心設備上，沒有及時更新或加以限制，比如rlogin 和Telnet 的服務[15]。

（3）大部分被發現的漏洞可以通過補丁程序或正確的配置加以解決，有些已經付諸行動，比如工程師站沒有開放SNMP 在UDP（用戶數據報協議）和TCP（傳輸控制協議）的端口，這說明已經可以規避“SNMP 代理默認社區名稱（公共）”漏洞帶來的問題。

（4）DCS 控制器對于來自網絡的控制命令沒有認證機制，任何能夠訪問控制網絡的設備模仿工程師站發送給控制器的指令都能得到執行，此時生產過程和生產安全面臨巨大的風險，需要采取更嚴格的DCS 網絡訪問安全控制。

（5）有些不安全的協議，例如XDCMP 不應在網絡上使用，但是可以利用SSH（安全外殼）隧道使用XDCMP 顯示桌面[16]。SSH 不僅安全，而且隧道允許通過許多防火墻限制，這些限制通常會阻止XDMCP。

2.4.4 漏洞掃描結果的適用范圍

在本次測試中，漏洞掃描被測設備是西屋公司的OVATION3.5 控制器，位于發電廠生產過程控制網絡，以及基于Solaris 操作系統的工程師工作站，該工作站屬于生產過程操作級的。

3 結語

利用網絡安全架構評審和基于工具的自動外部應用程序掃描2 種安全評估技術手段，通過在線資產發現獲得了實時準確的網絡安全架構和在線資產的可靠信息，如果這一技術手段能夠長時間應用在DCS 控制網絡中則可以隨時獲得動態的DCS 網絡資產信息。而DCS 網絡核心設備漏洞掃描，發現已經存在了很久的漏洞，這些漏洞對于外部的攻擊者來說是容易攻擊的，而內部人員也可能利用這些漏洞對DCS 系統造成生產過程的破壞或信息泄露。通過編寫腳本構建自定義測試例發現DCS 控制器在接收上位機指令時沒有認證機制的漏洞，有效彌補了現有商用漏洞掃描工具的欠缺。

總之，此次安全評估驗證了在線資產發現以及利用漏洞掃描工具特別是自定義測試例的有效性和優越性，其次證實了發電廠的DCS 控制系統是存在安全風險的，有些漏洞可以通過補丁和正確的配置來避免被利用，但是由于DCS 控制系統可能在短時間內無法支持對上位機的認證功能，那么只能從其他方面加強DCS 網絡安全措施，阻止對DCS 網絡的任何非法訪問。